-
转自不知名大佬的笔记
-----------------------------------less-23-----------------------------------
原url:
192.168.137.138/sqli-labs-master/Less-23
这节课将学到一些新东西:
preg_replace() 函数 和 数据库注释
preg_replace()
PHP中用来执行正则表达式的匹配以及替换的函数。可以返回一个正则表达式转换后的值。
原型:
preg_replace(mixed replacement,
limit = -1[,int &
pattern 要搜索的模式。可以使一个字符串或字符串数组或者正则表达式
string 要进行搜索和替换的字符串或字符串数组。
作用: 在 string 中查找符合正则表达式 pattern 的部分 并将其替换为 replacement ; limit 可选参数 ,默认为 -1 表示无限次的替换 ; count 可选 ,表示完成的替换次数
例如:
<?php
pattern = '\b\w{5}\b'; #表示 有一个单词 是 5个 字母的,在string中,还有April满足 这个 查询条件
pattern,
string);
?>
输出:
October 15,2003
数据库注释
数据库: 注释: 描述
SQL Server 、Oracle、PostareSQL --(双连字符) 用于单行注释
/* */ 用于多行注释
Mysq --(双连字符) 用于单行注释( 第二个横杠-后 面紧跟一个空格 或控制符,这也 是为什么前面注 入测试的时候 用+ 带替空格 的原因
# 用于单行注释
/* */ 用于多行注释
在 less - 23 中呢,就要用到上面的知识
同样的,首先测试 ' " 之类的特殊字符,去破坏语法结构,看看会不会报错
(返回页面 出现 的 warning 和 注入没有多大关系,可以去关闭这个 warning显示)
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1
这里报错了,看似很简单,和 less-1 一样
near ' '1'' LIMIT 0,1 ' at line 1
初步猜测 后台 sql 语句:
select username,password from table where id = 'input'
按照常识
用 1' and 1=1 # 和 1' and 1=2 # 去测试
放入sql语句中看看:
select username,password from table where id = '1' and 1=1 #'
这样 where 条件 是永真
这样返回页面应该为真
效果如下:
结果他还是报错了:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' LIMIT 0,1' at line 1
-----------------现在直接去看看源码部分,这其中是怎么个情况--------------------
<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
// take the variables
if(isset(id=$_GET['id'];
//filter the comments out so as to comments should not work
reg1 = "/--/"; //被替换的字符,匹配--双横杠
id = preg_replace(
replace,
id = preg_replace(
replace,
fp=fopen('result.txt','a');
fwrite(id."\n");
fclose($fp);
// connectivity
id' LIMIT 0,1";//这里的ID按理说已经非常安全了,因为撤去了注释符,很多注入语句无法成功构成,所以,在之前构造好的语句,已经成功闭合了,而且没有语法错误的情况下,还是爆出语法错误,就是因为 注释符 丢失了,语句的语法并没有闭合
sql);
result);
if($row)
{
echo '<font color= "#0000ff">';
echo 'Your Login name:'. $row['username'];
echo "<br>";
echo 'Your Password:' .$row['password'];
echo "</font>";
}
else
{
echo '<font color= "#FFFF00">';
print_r(mysql_error());//爆出 MYSQL 中的错误
echo "</font>";
}
}
else { echo "Please input the ID as parameter with numeric value";}
?>
通过对源码的分析,已经知道了问题所在
就是因为 preg_replace() 的存在,这个是PHP 的自带的过滤函数
现在、、结合代码审计 来 构造注入语句
有两个思路:
1-----不用注释符
2-----用其他注释符替代
先想想 用其他注释符替代:
mysql一共有三种注释符:
-- # /**/
很明显,第三种 /**/ 注释符,在源码中并没有对其处理
但是呢,/**/的用法和 C 语言中一样,注释的是其间的内容
比如:
/fffff/
这样达不到,SQL 注入的效果(在后续的学习中,知道了/**/可以代替空格)
所以只能想想第一种思路:
不用注释符
不用注释符的话,就应该去闭合他的SQL 语句,让其正常执行
比如,一个简单的语句:
1' or '1'='1
将其放入之前猜测的 SQL 语句中:
select username,password from table where id = '1' or '1'='1'
这样的话,没有使用注释符 也将 语句闭合了
其他语句类似,将其正确闭合就行了
不过目前2016/5/17我还不知道怎么用其他更复杂的语句去注入这种 注释符 被过滤的情况
在2016/5/19 我知道了怎么在构造的闭合条件中 添加更复杂的语句:
其实很简单,就在or或者 and 前面添加就行了
比如:
-1' union select 1,2,3,...or '1 //直接去猜字段,顺便爆出 字段位置
注:union select前面的条件应该为 假
放入 sql 语句中:
select username,password from table where id = '-1' union select 1,2,3... or '1'
语句说明,这样就起到了 or ‘1 代替注释符的效果
首先,注释符的主要作用,其实就是把 后面的 闭合条件 给注释掉
那么用 or '1 ,后面还有一个单引号,成功闭合了
而且 这个 or 后面的语句并没有进行 判读(比如1=1啊这类的),所以 这里用 and 和or
的结果是相同的
效果如下:
(先测试 union select 1,2,3,4 or ‘1)
报错了:
The used SELECT statements have a different number of columns
说明字段数应该小于4
改成
union select 1,2,3
效果如下:
返回页面 暴露出了 字段位置
构造语句:
1' and 1=2 union select 1,database(),3 or '1
效果如下:
在字段2的位置,爆出了 当前数据库名
Your Login name:security
Your Password:1
其他的注入语句就不一一实验了
总结:
通过 and 或是 or 构造闭合条件 代替 注释符
语句一般这样:
1(闭合条件) 注入语句 or (闭合条件)1
或者是这样:
1(闭合条件) 注入语句 and (闭合条件)1
但是在快速判断闭合条件时候
用的是 and
比如 是 GET 型传参
1'and'1
如果别和条件就是 ' 的话
那么
改变 第一个 值 1:
2'and'1
返回页面就会不同
反之,返回页面不变
网友评论